Вредоносное ПО уже удалено со всех ресурсов Magento создателем расширений. Что касается пользователей, то им специалисты советуют повторно установить действующие версии или обновить FishPig.
Согласно информации компании, система лицензирования была взломана в первых числах прошлого месяца, а может и раньше. Хакеры смогли заразить вредоносом большое количество расширений и, скорее всего, платного характера, среди которых Fishpig Magento Security Suite. Вероятно, от вредоносного ПО не пострадали размещенные на GitHub расширения.
Исходя из данных Sansec, атакующие в License.php внедрили вирусный код. Вирус начинает работать в момент входа штатного пользователя Magento в Control Panel и запускает бинарник Linux.
По результатам проведенного анализа, в файле содержится Rekoobe. Функционирует он в фоновом режиме, поэтому абсолютно незаметный.
Троян во время активации вирусные файлы ликвидирует и остается исключительно в памяти. Для того, чтобы замаскироваться по максимуму, он себя выдает за процессор и ждет, когда поступят команды с сервера С2. Последний находится в Латвии. Какую хакеры преследуют цель, пока не ясно.
Исходя из статистических данных Packagist, в общей сложности осуществляется свыше двухсот тысяч загрузок. Какое количество интернет-магазинов задействуют расширения платного характера, непонятно. Компания признала, что взлом действительно имел место быть, и приняла необходимые меры, чтобы предупредить новые кибератаки.